Mozilla เตรียมเลิกเชื่อถือใบรับรองจาก WoSign, เลิกเชื่อถือ Ernst & Young ฮ่องกงไปพร้อมกัน

เหตุการณ์ CA จีน WoSign ออกใบรับรองผิดพลาด ถูกขยายผลต่อเนื่องมาถึงการควบรวมกิจการโดยไม่ได้แจ้งให้ผู้ผลิตเบราว์เซอร์รับทราบ ตอนนี้ทาง Mozilla ก็ออกมาแถลงถึงมาตรการต่อ WoSign แล้ว

เอกสารของ Mozilla ระบุว่ากำลังจะถอน WoSign และ StartCom ออกจากการเชื่อถือของเบราว์เซอร์เป็นเวลาอย่างน้อยหนึ่งปี โดยหากต้องการกลับเข้ามาเป็น root CA อีกครั้งจะต้องผ่านกระบวนการใหม่ทั้งหมด มาตรการเพิ่มเติมได้แก่

• ตรวจสอบความพร้อม (Point-In-Time Readiness Audit - PITRA) จากผู้ตรวจที่ Mozilla ให้ความเห็นชอบ
• ตรวจสอบความปลอดภัยโค้ดที่ใช้ออกใบรับรอง จากผู้ตรวจที่ Mozilla เลือก
• หลังจากกลับเข้ามาเป็น root CA จะต้องเปิดเผยใบรับรองทั้งหมดในเซิร์ฟเวอร์ CT อย่างน้อยสองชุด เป็นของกูเกิลหนึ่งชุด และของรายอื่นที่ไม่เกี่ยวข้องกับบริษัทอีกหนึ่งชุด

เหตุการณ์ครั้งนี้ยังทำให้ Mozilla ประกาศไม่รับผลการตรวจจาก Ernst & Young ฮ่องกงอีกต่อไป เนื่องจากการรายงานการตรวจสอบกลับไม่รายงานการออกใบรับรองผิดพลาดที่เกิดขึ้น

WoSign และ StartCom นับเป็น CA จีนรายที่สองที่ถูกแบนหลังออกใบรับรองผิดพลาด โดยปีที่แล้ว CNNIC ของจีนก็ถูกแบนไป

ทาง Mozilla ระบุว่าใบรับรองเดิมที่ออกไปจนถึงวันที่หยุดเชื่อถือจะใช้งานได้ต่อไป หากพบว่ามีการออกใบรับรองย้อนอีก Mozilla จะยกเลิก root CA ของทั้ง StartCom และ WoSign โดยไม่สนวันที่ออกใบรับรองอีก อย่างไรก็ดีตอนนี้ Mozilla ยังไม่ตัดสินใจว่าจะกำหนดวันหยุดการเชื่อถือเมื่อใด และทั้งสองบริษัทจะสามารถใช้ใบรับรอง root CA เดิมหลังผ่านกระบวนการกลับเข้ามาเป็น root CA ได้หรือไม่

ที่มา - mozilla.dev.security.policy, WoSign and StartCom